Mingwah密鑰管理系統（Key Management System）是專門為IC卡應用系統設計開發的，它是用于管理各類密鑰的產生、派生及傳輸全過程的一整套安全可靠的解決方案。它的設計完全遵循《中國金融集成電路（IC）卡規范（1.0）》和《銀行IC卡聯合試點密鑰管理系統總体方案》，所以該系統還能很好滿足金融應用的要求。
Mingwah密鑰管理系統在設計時廣泛吸取了金融界IC應用部門和安全部門提出的要求。并結合Mingwah在密鑰管理方面多年的丰富經驗与先進技術，針對密鑰生產和傳輸過程中的每一個過程和細節，均采取有效措施加以控制。另外也充分得益于Mingwah SMARTCOS卡能夠進行复雜的加密運算及其自身具備的的安全特性，采用Mingwah密鑰管理系統將有效保証并提高IC卡應用系統的整体安全性与可靠性。

　　密鑰的保密性与IC卡應用系統的整体安全性息息相關：
在IC卡應用系統特別是金融類應用系統的安全机制中，密鑰扮演著极為重要的角色。無論是卡片和終端之間的脫机交易，還是卡片与后台主机之間的聯机交易，所有涉及到資金或IC卡中敏感數据的交易，都必須使用加密密鑰來保証其應用的安全性。
根据一般金融IC卡應用系統的体系結构，IC卡的密鑰管理將采用集中或部分集中的方式，即由發卡單位（例如人保總公司）產生管理該系統的根密鑰和業務主密鑰，并將相關密鑰分發給所轄發卡方（例如各人保分公司）。
Mingwah 密鑰管理系統的核心是將密鑰安全地產生并存儲在IC卡中，通過IC卡將密鑰傳送到目標設備。這里所謂的目標設備是指用戶卡發卡系統（CPS），終端（Terminal－SAM）和系統后台主机（HOST－HSM）。

流程圖：

密鑰管理系統的設計原則
1、 所有密鑰的裝載与導出都采用密文方式；
2、 密鑰管理系統采用3DES加密算法，采用根密鑰生成系統、主密鑰生成系統、母卡生成系統和授權卡生成系統四級管理体制；
3、 在充分保証密鑰安全的基礎上，支持IC卡密鑰的生成、注入、導出、備份、更新、服務等功能，實現密鑰的安全管理；
4、 密鑰受到嚴格的權限控制，不同机构或人員對不同密鑰的讀、寫、更新、使用等操作具有不同權限；
5、 為保証密鑰使用的安全，并考慮實際使用的需要，系統可產生多套主密鑰，如果其中一套密鑰被泄露或攻破，應用系統可立即停止該套密鑰的并啟用備用密鑰，這樣可盡可能的避免現有投資和設備的浪費，減小系統使用風險；
6、 用戶可根据實際使用的需要，選擇密鑰管理子系統不同的組合与配置；
7、 密鑰服務、存儲和備份采用密鑰卡或加密机的形式。

密鑰管理系統的組成
Mingwah密鑰管理系統由硬件、軟件和密鑰卡三部分組成。

硬件部分：
一台PC机（具有兩個串行口）；
兩台 Mingwah RD讀寫器或一台Mingwah DP讀寫器。

軟件部分：
•根密鑰系統——根密鑰卡生成系統產生整個密鑰管理系統的根密鑰，根密鑰以根密鑰卡的形式傳輸到主密鑰生成系統中并通過分散算法得到主密鑰卡中的主密鑰信息。
•主密鑰系統——主密鑰系統通過根密鑰卡和分散因子作密鑰分散得到一套或多套主密鑰（密鑰套數取決于系統是否要備份密鑰），這些主密鑰通過主密鑰卡傳輸到母卡生成系統以生成授權母卡和初始化卡。
•母卡生成系統——母卡生成系統通過系統規定的密鑰對照規則向初始化卡和授權卡中導出所需應用密鑰。授權母卡与初始化卡的區別是：初始化卡同時存有正式和備用版本的密鑰，授權母卡只能存有正式或備用中的一組。
•授權卡生成系統——授權卡密鑰生成系統主要用來生成各种應用授權的認証密鑰卡，也即操作員卡。

Mingwah密鋼管理系統的運行過程
1、 根密鑰生成
根密鑰系統生成整個密鑰体系的根密鑰，然后通過它衍生出体系中的其他密鑰。根
密鑰的生成方法如下：
（1） 預先生成32位种子密鑰，在系統中是固定的；
（2） 由高級主管人員輸入生成16位3DES密鑰的隨机數作為分散因子；
（3） 用种子密鑰對隨机數進行3DES運算，得到32位根密鑰。若（2）的隨机數相等，則生成的根密鑰相同，若（2）的隨机數不等，則生成的根密鑰不同；

2、 主密鑰卡生成
主密鑰是通過一個根密鑰對多個分散因子進行3DES分散運算得到的，原始的分散因子只有一個，其他的分散因子由原始分散因子加1得到。
（1） 由各級業務主管輸入分散因子、密鑰個數（根据業務授權种類決定）和是否備份；
用根密鑰對隨机數進行3DES運算，得到32位的主密鑰。

3、 母卡生成
母卡系統的密鑰是將主密鑰以密文導出的方式平移到初始化卡或授權母卡中。
授權母卡与初始化卡的區別是：初始化卡同時存有正式和備用版本的密鑰，授權母卡只能存有正式或備用中的一組。

4、 授權卡生成
授權卡系統的密鑰是將主密鑰以密文導出的方式從授權母卡中平移到授權卡中。